哪里有压迫哪里就有反抗啊 上篇讲到用dnscrypt-proxy加密转发dns请求,看上去很美好的样子..可是问题来了dnscrypt-proxy默认提供的dns地址列表中的大部分地址都已经被和谐了,没有服务端再怎么加密都没有用 于是乎我们只有自己搭建一套dnscrypt服务器,虽然dnscrypt-proxy是官方开源的,但是server端并没有开源出来,好在有大神Cofyc参照client写了一个开源的版的server,dnscrypt-wrapper 下载源码进行编译,注意需要 libsodium和libevent 2库.Linode的CentOS源有两个库,直接yum安装就可以,编译是还需要安装autoconf 编译过程看看README就好了,比较简单 根据README中安装成功后,新建一个目录,在目录生成两个provider key文件 public.key secret.key 注意把公钥的串先记下来,之后会用到 再生成一个有时限的安全key和它对应的证书,我里命名为20151212(今天双12,哈哈) dnscrypt-wrapper --gen-crypt-keypair --crypt-secretkey-file=20151212.key dnsc
Month: December 2015
OpenWRT防止DNS污染
话说写了这么多和谐的东西,不是给我封了吧… 那天家里停电,回来的时候发现路由器爬不了梯子了,手动重启shadowsock也不行,但是用ss的客户端还是可以访问的,现在是openwrt上有问题,DNS用的是8.8.4.4,当时想应该不会被污染吧,找了一圈都没有找到原因,于是在openwrt上装了个dig试试DNS解析,opkg install bind-dig,查了一个fb,果然dns被污染了,被解析到了一个159.106.121.75的IP上.以为是dnsmasq的dns服务器IP没有配置对,搞了一大圈,虽然没有效果,指定dns server 解析 dig @8.8.4.4 www.facebook.com 居然也被污染了,心想可能是8.8.4.4被劫持了,那换一个私有的dns服务器来解析总可以吧,把linode的dns 的IP来试试居然还是不行,这…已经非常明显了..一定是dns解析的53端口被劫持了.. 换一个opendns的5353端口试试 dig @208.67.222.222 -p 5353 www.facebook.com 解析正常..操蛋的电信,居然把53端口上的所有流量都劫持了,不知道什么时候又会弹